Giải mã cách hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo - Tin Công Nghệ

Web napmucmayintannoi.com có bài: Giải mã cách hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo – Tin Công Nghệ Bằng một vài thủ đoạn lừa đảo kết hợp cùng việc lợi dụng lỗ hổng trên hệ thống, kẻ xấu có thể kiểm soát tài khoản Zalo của một người nếu lừa được họ tin và click vào đường link lạ.

Bằng một vài âm mưu lừa đảo phối hợp cùng việc lợi dụng lỗ hổng trên hệ thống, kẻ xấu cũng có thể kiểm soát tài khoản Zalo của một người, nếu lừa được họ tin và click vào đường link lạ.

Kẻ xấu đổi tên Fanpage Công an tỉnh Vĩnh Phúc

Phát hiện nhiều website giả mạo, lừa đảo người sử dụng Việt Nam

Hacker đương đầu án 145 năm tù giam vì phát tán mã độc tống tiền

Hồi tháng 8/2021, trên diễn đàn trao đổi dữ liệu Raid***** của giới hacker, một tài khoản mang tên ilovevng đã đăng nội dung chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát tài khoản Zalo Chat hay Zalo Pay.

Người đăng tải tin tức cho biết, để làm điều này, họ chỉ cần gửi một đường link tới nạn nhân thông qua phần mềm Zalo. Nếu nạn nhân click vào đường link đó, tài khoản của họ sẽ dễ dàng bị kiểm soát.

Xem thêm: dịch vụ sửa internet quận tân bình vs dịch vụ sửa internet quận 10 vs sửa internet quận tân phú vs

“Lỗ hổng này đừng để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân cũng có thể có thể là bất kỳ ai bạn muốn”, tin tặc cho biết.

Hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo như thế nào?

Những người muốn được chia sẻ cách chiếm quyền khống chế tài khoản Zalo sẽ thanh toán cho hacker bằng tiền điện tử. Đến thời điểm hiện tại, bài đăng này vẫn còn tồn tại trên diễn đàn Raid*****. Ảnh: Trọng Đạt

Trong một hành động nhằm vạch trần âm mưu của giới tin tặc, mới đây, Công ty Dịch vụ An ninh mạng VinCSS đã cho công bố cách thức mà thủ phạm của vụ việc trên thực hiện.

Theo đó, nhóm Săn mối nguy của VinCSS đã phát hiện một số điểm yếu bảo mật cho phép kẻ xấu có thể hình thành một chuỗi khai thác để chiếm quyền kiểm soát tài khoản Zalo và ZaloPay của người dùng.

Điểm đặc biệt của chuỗi khai thác là kẻ xấu có thể chiếm quyền kiểm soát một tài khoản Zalo bất kỳ bằng cách dẫn dụ nạn nhân nhấp vào một đường link được che đậy tinh vi. Khi truy cập thành công vào tài khoản, ứng dụng Zalo trên điện thoại của nạn nhân sẽ không xuất hiện bất kỳ cảnh báo về phiên đăng nhập mới.

Cụ thể, trong công đoạn sử dụng Zalo, VinCSS đã phát hiện tính năng “Đăng nhập qua ứng dụng Zalo” tồn tại lỗ hổng Open Redirection, cho phép thay đổi địa điểm nhận token từ ứng dụng.

Nhóm chuyên gia của VinCSS đã phát giác ra một lỗ hổng trong tính năng đăng nhập qua ứng dụng Zalo.

Khi sử dụng ứng dụng Zalo nền tảng web hoặc một số ứng dụng khác trong hệ sinh thái của VNG, người dùng được cung cấp tuỳ chọn “Đăng nhập qua phần mềm Zalo”. Bằng việc khai thác lỗ hổng Open Redirection trong cơ chế đăng nhập này, kẻ xấu sẽ đạt được cookies cho phép truy cập vào tài khoản.

Để thực hiện được điều đó, kẻ xấu cần chuyển hướng người dùng sau xác thực tới một trang web thuộc quyền kiểm soát của chúng, từ đó lấy được mã token để đăng nhập tài khoản.

Tuy nhiên, nếu chỉ sử dụng duy nhất lỗ hổng này, kẻ xấu sẽ khó dẫn dụ người dùng truy cập vì đường link trông sẽ rất lạ.

Để thi hành hữu hiệu hơn, kẻ xấu đã khai thác một chuỗi các lỗ hổng, trong đấy có lỗ hổng trong tính năng xem trước nội dung liên kết. Điều này giúp chúng cũng đều có thể ẩn đi đường link phishing, từ đó dẫn dụ người dùng nhấp vào đường link hiển thị nội dung trang đích giống như thật.

Một đường link dẫn đến website phishing được những chuyên gia VinCSS ngụy trang như thật thông qua lỗ hổng trong tính năng xem trước nội dung liên kết trên Zalo.

Khi người dùng nhấp vào và bị chuyển hướng đến server của kẻ xấu, trang web này sẽ tự động ghi lại token và chuyển hướng người dùng đến trang đích thật sự. Do quá trình chuyển hướng diễn ra rất nhanh, người dùng sẽ không hề biết họ vừa lướt qua trang web giả mạo.

VinCSS cũng phát hiện ra rằng, Zalo đang sử dụng một cơ chế cấp phép người dùng đăng nhập lại phiên sử dụng Zalo web với cookie của session đã đăng nhập. Tuy nhiên, cơ chế này vẫn hoạt động với session chưa lúc nào đăng nhập, ẩn đi lời nhắn thông báo đã đăng nhập trên thiết bị mới.

Hai lỗ hổng khác gồm lỗ hổng liên quan đến thời hạn của session và đối với việc đăng nhập vào ZaloPay với token thu được cũng giúp kẻ xấu truy cập và chiếm quyền khống chế tài khoản lâu dài, cùng lúc đăng nhập đến các phần mềm khác của Zalo, trong đó có ZaloPay.

Theo VinCSS, khi kết hợp 5 lỗ hổng, có thể hình thành một chuỗi khai thác nhằm vào người dùng Zalo. Đó chính là phương thức, âm mưu mà kẻ xấu trong vụ việc hồi tháng 8/2021 đã thực hiện. Rất may mắn khi vấn đề sau đó đã được xử lý một cách nhanh chóng.

Đến thời điểm hiện tại, cả 5 lỗ hổng nêu trên đều đã được Zalo Security team khắc phục. Do đó, cách thức tin tặc lợi dụng lỗ hổng này đã được nêu lên như 1 bài nghiên cứu. Ảnh: Trọng Đạt

Chia sẻ với Tin Công Nghệ về câu chuyện này, chuyên gia bảo mật Ngô Minh Hiếu (Hieupc) cho biết, những lỗ hổng trên được gọi là lỗ hổng phía máy khách (client-side vulnerability).

Để lợi dụng những lỗ hổng dạng này, kẻ xấu càng phải thực hành một vụ tấn công phishing (lừa đảo), để dẫn dụ và thuyết phục nạn nhân click vào đường link của chúng thì mới cũng có thể có thể thành công được.

So với lỗ hổng phía máy khách thì lỗ hổng phía máy server (server-side vulnerability) nghiêm trọng hơn nhiều. Đây là dạng lỗ hổng không cần tương tác gì nhiều từ phía người dùng. Rất may trong ví dụ trên không tồn tại lỗ hổng phía máy chủ.

Để hạn chế việc trở thành nạn nhân của các vụ việc kiểu như vậy, người dùng nên biết tự bảo vệ mình bằng việc không click vào những đường link lạ. Người dùng nên kiểm chứng bằng phương pháp gọi điện thoại trong khoảng 1-2 phút với những người gửi link để xác thực về liên kết này.

Người dùng cũng có thể có thể tập cho mình thói quen truy cập website lạ thông qua Chế độ ẩn danh (Incognito Mode) của trình duyệt. Còn một cách khác là truy cập trang web thông qua website http://browserling.com.

Khi tải về một tệp tin lạ, người dùng nên có thói quen quét virus trước khi mở tệp tin này. Việc quét virus cũng có thể được thực hiện đơn giản thông qua trang web http://virustotal.com. Đây là một trong những đối tác của dự án Chống lừa đảo (Chongluadao.vn).Theo chuyên gia Ngô Minh Hiếu, không những với những đường link mà với những tệp tin tải về, người sử dụng cũng luôn phải cảnh giác như vậy.

Đối với các file tư liệu dạng Word, Excel có dấu hiệu khả nghi, người sử dụng có thể mở chúng bằng công cụ Google Docs.

Bên cạnh đó, một trong số giải pháp tăng cường bảo mật dễ đặc biệt là luôn để mật khẩu có tính khó cao và không chia sẻ nó cho bất kỳ ai, chuyên gia Hieupc khuyến cáo.

Trọng Đạt

Hacker Zalo, Hack tài khoản Zalo, Chiếm tài khoản Zalo, Cách hack tài khoản Zalo, Lỗ hổng của Zalo, Ngô Minh Hiếu, Hieupc, Zalo, Bảo mật, An ninh mạng, An toàn thông tin

Nội dung Giải mã cách hacker lừa đảo, chiếm đoạt tài khoản người dùng Zalo – Tin Công Nghệ được tổng hợp sưu tầm biên tập bởi: napmucmayintannoi.com. Mọi ý kiến vui lòng gửi Liên Hệ cho napmucmayintannoi.com để điều chỉnh. napmucmayintannoi.com tks.